A. Sơ lược về định dạng .vhd và .vhdx
Định dạng file ổ đĩa ảo (VHD), được giới thiệu chính thức với Connectix Virtual PC, có thể chứa nội dung của một ổ đĩa cứng hoàn chỉnh. Cuối cùng, Hyper-V đã chấp nhận định dạng đĩa này. Hệ điều hành Windows 7 trở lên được trang bị khả năng mount files VHD thủ công. Bắt đầu từ Windows 8, người dùng có thể mount file VHD chỉ bằng một cú click đúp chuột. Khi đã được Mount file VHD xuất hiện trong Windows như một ổ cứng vật lí kết nối với hệ thống. Phiên bản thứ hai (VHDX) có các chức năng tương tự VHD, nhưng đi kèm một số chức năng hiện đại hơn, ví dụ như hỗ trợ dung lượng lớn hơn và hỗ trợ thay đổi kích cỡ ổ đĩa
B. VHD, VHDX và việc file hệ thống bị hỏng
Sau khi vọc vạch các file ảnh hệ thống với BFF, tôi đã tìm ra một số cách có thể làm ngưng hoạt động Windows đó là cho mount một disk bị hỏng. Ví dụ như cắm USB với một file hệ thống bị hỏng cũng có thể khiến Windows Crash. nhưng điều này cần bạn phải đứng cạnh máy nạn nhân. VHD và VHDX có thể xử lí vấn đề này, nếu user chỉ cần mout một file VHD hay VHDX đặc biệt chứa một file hệ thống đặc biệt, nó sẽ khiến Windows bị crash hoặc tồi tệ hơn là BSOD
C. Mark of the Web
Mark of the Web (MOTW) được giới thiệu trong Windows XP SP2 cho phép WIndows đánh dấu các file trong ổ đĩa của bạn các thông tin dựa trên Internet Explorer security zone và nguồn gốc của các file đó. Điều này có nghĩa là các file được tải về từ Internet được đánh dấu là file có nguy cơ và cần phải cẩn trọng khi xem
Ví dụ như file Word dưới đây bị đánh tag bởi MOTW và và được mặc định mở trong Protected View.
Trên Windows 10, chúng ta có Windows Defender SmartScreen ngăn chặn các file không tin tưởng tải từ Internet thực thi
D. VHD/VHDX Files và MOTW
Nhìn từ phía người dùng, từ Windows 8 trở lên, file VHD và VHDX có chức năng tương tự một file ZIP. Nhưng file ZIP thì có thể bị đánh dấu từ MOTW còn file VHD, VHDX thì không. Do vậy chúng ta sẽ không có sự phòng vệ đủ cần thiết với các file có nguồn gốc từ Internet. Các bạn có thể xem ví dụ ở video sau
E. VHD/VHDX và Antivirus
Tôi chưa tìm ra được bằng chứng nào cho thấy Antivirus sẽ quét những file bên trong file VHD hoặc VHDX. Tôi đã thử tạo một file VHD chứa các file dùng để test các AntiMalaware từ EICAR và quét thử trên VirusTotal và đây là kết quả
F. File ISO và IMG
Giống như VHD/VHDX, các file chứa trong file ISO và IMG đều không bị đánh dấu bởi MOTW, tuy nhiên khác với VHD, một vài Antivirus vẫn có thể quét các file chứa trong file ISO hay IMG
Thử nghiệm tương tự, Tôi đã thử tạo một file ISO chứa các file dùng để test các AntiMalaware từ EICAR và quét thử trên VirusTotal và đây là kết quả
G. Phòng ngừa
- Chặn các file VHD, VHDX, IMG và ISO tại Email Gateways
- Ngăn chặn không cho mount tự động các file VHD, VHDX, IMG và ISO
- Kiểm soát các file trên tại Web Gateways, đôi khi các file đó cần tải xuống để phục vụ các việc như cài một số phần mềm
Bài gốc: The Dangers of VHD and VHDX Files – Carnegie Mellon University
Lược dịch bởi Nguyễn Anh Kiệt
Bài hay nên đọc
Truy tìm tài khoản truyền thông xã hội bằng tên người dùng với công cụ: Sherlock
Hack Windows, Android, Mac với công cụ TheFatRat
Tổng hợp các Distro Linux tốt nhất dành cho các đối tượng khác nhau
Đánh giá Q4OS – Tái sử dụng chiếc máy tính cũ của bạn
Views: 3449
